IPv6过渡机制和安全性综述

摘要:ipv6协议涵盖了多种先进的网络技术并具有良好的扩展性,已经成为下一代互联网的主流网络层协议。现有网络向IPv6过渡和网络的安全是讨论的热点问题。过渡机制是实现由IPv4网络向IPv6网络转化的机制,主要方式有双协议栈技术、隧道技术、协议转换技术;安全性也有综述和构想,主要方式有IPSec、地址机制、实名IP地址及实名IP地址加防伪验证。

关键词:IPv4;IPv6;过渡;安全

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)19-5229-03

Survey of IPv6 Transition Mechanisms and Security Review

ZHANG Xin, LI Yu-ke

(Department of Electronic and Information Engineering, Hebei University, Baoding 071002, China)

Abstract: IPv6 comprises multiple advanced network technologies and outdoes the current IPv4 with significant advantages, has become the mainstream next-generation Internet network layer protocol. Transition mechanism is a major transition from IPv4 to IPv6 transformation mechanism. The main methods are dual-stack technology, tunneling technology, protocol conversion technology. Security is also reviewed and ideas. The main methods are IPSec, address mechanisms, real-name IP address and IP address combined security validation.

Key words: IPv4; IPv6; transition; security

随着网络应用的加强,目前的IPv4协议存在诸多局限性,特别在安全性方面,如今网上交易不断增多,使人们对网络安全更加重视。现在使用的IPv4协议,采用的是32位编码地址,其中70%[1]已经分配光,全球面临着IP地址枯竭。新协议IPv6采用128位编码地址,有足够大的地址空间来实现网络中的各种应用[2]。IPv6较IPv4协议有诸多的好处,但将IPv4完全转换成IPv6是一个漫长的工作,因此IPv6和IPv4协议将长期共存[3]。这就需要有相关的过渡技术来支持。

1 过渡机制 [4]

由于IPv4与IPv6协议的不兼容性,两种协议以何种方式共存,怎样过渡,如何走向完全的IPv6,经国内外学者的探讨,目前最主要的过渡机制有双协议栈技术、隧道技术、协议转换技术。

1.1 双协议栈技术[5-8]

双协议栈技术是应用最广泛的一种过渡技术。IPv6与IPv4的路由运行机制基本一致,IPv4的动态路由机制经扩展后可以运行在IPv6上,因此也是最容易实现的一种技术。双协议栈主机装有IPv4、IPv6两种协议栈,可分别和IPv4、IPv6系统通信。该技术引入新节点IPv4/IPv6,在通信时,根据DNS返回的记录,判断通信节点的协议类型,IPv4/IPv6节点用地址选择[9]规则来与相应的节点通信。双协议栈之间的通信如图1所示。

1.2 隧道技术

在计算机网络中,IPv6中的隧道技术是指用IPv4报头来封装IPv6数据包,使得IPv6数据包可以穿越IPv4网络来通信的技术。隧道技术成功的解决了孤立的IPv6网络之间的通信。隧道技术的基本机制如图2所示。

基于隧道技术的过渡方案有[10]:手工配置隧道、自动配置隧道、隧道、6 over 4隧道、6 to 4隧道。手工配置隧道的端点地址完全由固定配置决定,适用于经常通信的IPv6节点。自动配置隧道的建立和拆除是动态的,端点由分组的目的地址来确定,适用于不经常通信的节点。隧道[11-12]是应用在全球范围内的自动隧道机制,给IPv6网络提供了自动接入能力,减轻了管理负担,适用于单个主机获取IPv6连接的情况。6over4隧道[13]是应用在某一范围内的自动隧道机制,它使得孤立的IPv4/IPv6节点在具备组播能力的IPv4局域网内实现IPv6的组播连接。6 to 4 隧道[14]要求节点地址是从IPv4地址自动派生出的IPv6地址,因此该机制的节点要求必须至少有一个全球唯一的IPv4地址。这种机制适用于运行IPv6的节点间的互通。

我国现有网络为了解决IP地址缺乏的问题,大量引用NAT[15]技术。该技术可以使多个用户共用一个合法IPv4地址与外网通信。上面五种隧道技术不能应用在有NAT设备的网络中。Teredo[16-17]和Silkroad[15]协议是专为NAT用户设计的过渡技术。这两种技术都采用IPv6-in-UDP隧道,即将IPv6报文封装在IPv4 UDP载荷中。Teredo协议不允许有对称的NAT,并需要特殊的IPv6地址前缀,地址中嵌有服务器和客户机的IPv4地址和端口。Silkroad隧道为NAT用户分配IPv6地址时不需要特殊格式的前缀,也不需要嵌入NAT映射地址或端口。

以上几种隧道技术,在实际网络中应用时需要配合使用,单一的隧道技术解决不了实际网络中所有孤立IPv6节点间通信的问题。

1.3 协议转换技术[18-19]

协议转换技术主要用于不同协议间的通信,如源节点使用IPv6协议,目的节点使用IPv4协议。需要通过协议转换技术对两种IP协议的首部进行转换,使得两协议间实现透明通信。

协议转换技术主要包括NAT-PT、BIS、SIIT、MTP、TRT、SOCKS64、BIA等机制。NAT-PT[20-22]应用在网络层,NAT指地址转换,PT指协议翻译。也就是说在进行IPv4/IPv6地址转换的同时,协议也在翻译节点间通信实现透明化。BIS[23]技术在网络层实现主机内的翻译机制,在IPv4协议栈中插入域名解析模块、地址映射模块、报头翻译模块,并在IPv4协议栈和网络接口间加了翻译层,使得IPv4应用程序与其他IPv6主机通信。SIIT[24]技术是在网络层上的一种无状态的IP协议和ICMP[25]协议转换算法,常与NAT-PT、BIS等机制结合实现纯IPv6和IPv4节点间的通信。MTP引入了特殊的IPv6组播地址,其中嵌入了IPv4的组播地址,从而实现了组播地址间的翻译,弥补了NAT-PT单播地址翻译的缺陷。TRT[26]是传输层的区域范围内的翻译机制,通过传输层中继连接两种不同网络。SOCKS64[27]是应用层的翻译机制,通过应用层连接两种不同的网络,适用于客户到服务器的网络环境。BIA[28]的翻译层位于IPv4套接字API和IPv6协议栈之间,使其避免了逐个翻译报文和与底层驱动打交道,还能支持网络层端到端的安全机制。

协议转换机制的各种技术相互结合,能够有效的实现纯IPv4节点和纯IPv6节点间的透明传输。在实际网络过渡中,并不是单一的技术可以解决全部的问题,它需要合理的布置不同节点的过渡技术,使不同的技术相互配合,协同工作,这样才能使IPv4网络平稳的过渡到IPv6网络。

2 安全性

随着网络应用的广泛,大量的个人及其他信息暴露在网络上,使得一些别有用心的人开始关注这些信息,给网络安全增加了隐患。由于在建网初期只是为了简单的连接,因此没有过多的考虑到安全问题。下一代网络对安全性高度重视。从不同的角度探讨了未来网络的安全。

2.1 IPSec [29-36]

1995年IETF[37]工作组制定了IP层通信安全的IPSec协议。协议采用模块化设计,提供了一种标准、可靠、可扩充的安全机制。它为数据提供身份认证、完整性检验、抗重播攻击及有限的数据流机密性保证等。IPSec协议在IPv4中选择执行,但在IPv6中是必须执行。IPSec由三个基本协议组成:认证头协议(AH)、封装安全负载协议(ESP)、Internet密钥交换协议(IKE)。

认证头协议提供数据完整性保护和IP数据报的原始认证,并防止数据重发攻击和IP地址欺骗,如果在完整中使用了公共密钥数字签名算法,则可为IP数据包提供不可抵赖服务。通过使用顺序号字段来防止重发攻击,在隧道模式和传输模式下使用,既可用于为两节点间数据包传送提供身份验证和保护,也可用于对整个数据包流进行封装。

封装安全负载协议运行在隧道模式和传输模式下,用于IP节点发送和接收经过加密的数据包,在网络层实现端到端的数据加密,用以对付网络上的监听。ESP可以通过加密提供数据包的机密性,使用公共密钥加密对数据来源进行身份验证,由AH给出的序列号提供抗重播服务,使用安全性网关提供有限的信息流机密性。

Internet密钥交换协议是密钥协商协议,为要通信的数据双方提供一致的安全设置和密钥。为网络上任何一个需要加密和认证的通信协议提出算法和密钥协商服务。适用公用网环境。

IPSec协议使得IPv6协议本身就具有自保护功能,更加增强了IPv6网络的安全性。

2.2 地址机制[32]

IPv6采用128位编码地址,可容纳 个地址。一方面可以解决当前地址枯竭的问题,另一方面,使寻址和路由设计更加灵活。IPv6地址类型包括单播、多播和任意播地址[38],取消了广播地址。IPv6地址机制的安全措施包括:

1) 防范网络扫描与病毒传播。传统扫描和传播方式在地址庞大的IPv6环境下难以适应。

2) 防范IP地址欺骗。IPv6接入的路由器在用户进入时对IP包进行源地址检查,验证其合法性,非法用户将无法访问网络提供的服务。

3) 防范外网入侵。IPv6网络的环境下,网络接口可配置多个地址,不同的地址有不同的作用域。IPv6路由器不转发错误接口的数据包。

2.3 实名制IP地址 [39-40]

为了解决IPv4协议下地址缺乏问题,一般采用“私有地址+NAT”的方式。要满足若干人同时上网的要求,只能在内部建立私有地址,然后通过出口或地址转换访问互联网。这使得追踪地址时只能到出口,具体是哪个人很难查到。由于IPv4这种匿名性带来许多安全问题,基于真实地址寻址体系结构被提出来。IPv6具有大容量的地址,使实名制IP地址成为可能。实名制IPv6地址分配能够很好的将虚拟网络的身份与现实世界中的身份结合起来,是建设安全、诚信、和谐的网络社会的基础。

2.4 实名制IP地址加防伪验证

有了实名制IP地址机制,方便了网络的追踪。但黑客的入侵在所难免,他们可以盗用别人的IP地址来“行窃”,这就给当事人造成很大的麻烦。由生活中各种商品为了防止伪造而出现的防伪标识,联想到实名IP地址是否也可以采用带“防伪标识”的方法。该方法主要思路是在实名IP地址的基础上,增加一个防伪标志码,该码隐藏在地址中,位置灵活机动。在IPv6协议中增加一项防伪码识别项,自动验证每一个连接到该机的网络地址,一旦发现防伪标识不符合,就立马启动追踪程序,彻查该伪地址,做出处理。

3 结束语

IPv6协议是未来网络发展的主要方向,具有广阔的应用前景,研究的方向很多,问题也很广。本文只阐述了IPv4/IPv6的过渡机制以及IPv6的安全性方面的问题,现有的应对技术等,最后提出了一点个人的构想,是否具有可行性,还需要进一步论证。希望能对相关领域的技术人员有所裨益。

参考文献:

[1] 洪苗.IPv6地址实现机制[J].电脑知识与技术,2009(15):53916-3918.

[2] Hong Yong-Geun,Park Jung-Soo,Kim Hyoung-Jun.IPv6 Address Configuration over 3G Networks[Z].2007,12-14:1191-1194.

[3] 吴建平,李星,崔勇,等.4over6:基于非显式隧道的IPv4跨越IPv6互联机制[J].电子学报,2006(3):454-458.

[4] 王晓峰,吴建平,崔勇.互联网IPv6过渡技术综述[J].小型微型计算机系统,2006(3):385-395.

[5] GILLIGAN R,NORDMARK E.Transition Mechanisms for IPv6 Hosts and Routers[S].RFC2893,2000.

[6] Law Yuk-Nam,Lai Man-Chiu,Tan Wee Lum,et al.Empirical Performance of IPv6 vs IPv4 under a Dual-Stack Environment[C],Communications Society subject matter experts for publication in the ICC 2008 proceedings,2008:5924-5929

[7] Tahir H M,TaaA,Nasir B N.Implementation of IPv4 Over IPv6 Using Dual Stack Transition Mechanism (DSTM) on 6iNet[C].IEEE 2006:3166-3162

[8] 马萱,侯国平,张维理. 基于双栈技术的校园网络设计方法[J].通信技术,2009,42(10):102-104.

[9] DRAVES R.Default Address Selection for Internet Protocol version 6(IPv6)[S]. RFC3484,2003.

[10] 王海洋,徐恪,李昭,等.面向分布式路由协议的跨越IPv6网络的IPv4自动隧道[J].小型微型计算机系统,2006(10):1807-1811.

[11] DURAND A, FASANO P, GUARDINI I, et al. IPv6 Tunnel Broker[S]. RFC3053, 2001.

[12] 吴贤国,刘敏,李忠诚.IPv6隧道机制研究[J].电子学报,2007(2):354-357.

[13] CARPENTER B,JUNG C.Transmission of IPv6 over Domains without Explicit Tunnels[S].RFC2529,1999.

[14] CARPENTER B,MOORE K.Connection of IPv6 Domains via IPv4 Clouds[S].RFC3056,2001.

[15] 吴贤国,刘敏,李忠诚.面向NAT用户的IP六隧道技术研究[J].计算机学报,2007(1):1-9.

[16] 刘伟杰,张娟. 基于IPv4/IPv6隧道技术的NAT研究[J].计算机与数字工程,2008(8):177-180.

[17] 苏静,张会生.IPv6隧道的NAT穿越技术及其在GPRS中的应用[J].计算机工程,2006(10):126-128.

[18] AlJa'afreh R,Mellor J,Kamala M,et al.Bi-Directional Mapping System as a New IPv4/IPv6 Translation Mechanism[C].Tenth International Conference on Computer Modeling and Simulation,2008:40-45.

[19] Grosse E,Lakshman Y work Processors Applied to IPv4/IPv6 Transition[J].IEEE Network,2003(7/8):35-39

[20] Hong Yong Geun,Shin Myung Ki,Kim Hyoung Jun.Application Translation for IPv6 at NAT-PT[J].IEEE 2003:203-207

[21] TSIRTSIS G,SRISURESH work Address Translation-Protocol Translation (NAT-PT)[S].RFC2766,2000.

[22] 王殿清,马严.一种基于IPSec的新型IPv6实验原型系统[J].华中科技大学学报,2003(10):28-30.

[23] Tsuchiya K, Higuchi H, Atarashi Y. Dual Stack Hosts using the "Bump-In-the-Stack" Technique(BIS)[S]. RFC 2767, 2000.

[24] Nordmark E. Stateless IP/ ICM P Translation Algorithm (S IIT )[S]. RFC2765, 2000.

[25] 黄文,文春生,欧红星.基于ICMP的路由欺骗研究[J].微计算机信息,2008,24(5-3):98-99,143.

[26] HAGINO J, YAMAMOTO K. An IPv6-to-IPv4 Transport Relay Translator[S].RFC3142,2001.

[27] KITAMURA H. A SOCKS-based IPv6/IPv4 Gateway Mechanism[S].RFC3089,2001.

[28] LEE S, SHIN M-K, KIM Y-J. Dual Stack Hosts Using "Bump-in-the-API"(BIA)[S].RFC3338, 2002.

[29] KENT S, A TKINSON R.Security Architecture for the Internet Protocol[S]. RFC 2401,1998

[30] 蒋亚萍,蔡增玉,李淑霞,贺蕾.IPv6安全性分析与研究[J].河南教育学院学报,2009(6):30-32.

[31] 张秀爱.IPv6安全机制的研究[J].通信技术,2009,42,(7):77-78,96.

[32] 郭安,张建中,张宇.IPv6的网络安全分析[J].福建电脑,2006(1):104-105,99.

[33] 刘世杰,李祥和.IPv6对网络安全的改进[J].宽带网络与传输,2007,31(2):58-59,63.

[34] 杨贺,张宏科.嵌入式系统中基于IPv6的IPSec实现技术[J].当代通信,2004(10).

[35] Kim Jeong-Wook,Cho Hyug-Hyun,Mun Gil-Jong,et al.Experiments and Countermeasures of Security Vulnerabilities on Next Generation Network[J].IEEE,2007:1-6.

[36] 宗瑞锐,张宏科.IPv4及IPv6中的IPSec实现[J].计算机工程与应用,2004(7):112-114.

[37] 胡萍,毕军.IETF研究前沿与发展动态分析及对我国的启示和建议[J].科学管理研究,2009(4):9-12.

[38] Stefano M, Faccin and Franck Le. IEEE A Secure and Efficient solution to the IPv6 address ownership problem[J].IEEE,2002:162-166.

[39] 吕秋云.安全网络建设中实名制IPv6地址分配初探[J].计算机安全,2007(11):50-52.

[40] 毕军,吴建平,程祥斌.下一代互联网真实地址寻址技术实现及实验情况[J].电信科学,2008(1):11-18.